Press  »  Gläserner Nutzer

Hochstätter, Christoph H. Gläserner Nutzer: So sammeln seriöse Firmen private Daten. ZDNet.de. February 12, 2010.

Gläserner Nutzer: So sammeln seriöse Firmen private Daten

Google ortet Nutzer per WLAN. Facebook sucht Handy und Festplatte nach Kontakten ab. ZDNet zeigt, wie Unternehmen Spyware unterschieben, mit welchen Tricks sie Anwendern die Zustimmung dazu entlocken und wie man sie wieder los wird.

Ben Edelman[1], Junior-Professor an der Harvard Business School[2], Berater von McAfee[3] und bekennender Google-Kritiker machte Ende Januar eine interessante Entdeckung[4]: Die Google-Toolbar telefoniert jede URL, die der Nutzer in seinem Browser aufruft, vollständig nach Hause - und zwar auch dann, wenn der Anwender die Toolbar deaktiviert. Das wies Edelman nach, indem er einen Netzwerk-Sniffer einsetzte.

Die Deaktivierung nahm er nicht in der Toolbar selbst vor, da jede Browsererweiterung Befehle wie "Disable" selbst interpretiert und sich einfach nur unsichtbar machen kann, während sie im Hintergrund weiter agiert.

Edelman nutzte den Add-on-Manager des Internet Explorer 8[5], wie er in einem Video[6] zeigt. Dabei erwartete er, dass der Browser bei Deaktivierung keine Informationen an die Google Toolbar weitergibt. Doch weit gefehlt: Was der von ihm eingesetzte HTTP-Sniffer kann, nämlich ohne Wissen des Browsers sämtlichen HTTP-Verkehr aufzeichnen, kann die Google-Toolbar natürlich auch.

Für Edelman stand fest, dass dieses Verhalten der Google Toolbar nicht durch die Datenschutzbestimmungen[7] gedeckt ist. Die sagen nämlich aus, dass die vollständige URL nur übermittelt wird, wenn man die sogenannten "erweiterten Funktionen" wie Pagerank oder Sidewiki nutzt. Man könne diese jederzeit deaktivieren, reaktivieren oder einfach nicht verwenden.

Offensichtlich fühlte sich der Suchmaschinengigant "erwischt" und besserte seine Toolbar umgehend nach. Am 2. Februar berichtete Edelman in einem Blog-Beitrag[8] für McAfee, dass Google die "nicht einvernehmlichen Übertragungen" eingestellt habe. Für Edelmann bleiben jedoch eine Reihe Fragen: Zum Beispiel, wie so ein "Bug" durch das interne Testing gelaufen sein kann, ohne entdeckt zu werden.

Die Antwort auf diese Frage ist einfach: Dass es sich tatsächlich um einen Bug handelt, ist unwahrscheinlich. Es wird wohl eher ein "Feature" gewesen sein. Im Windows-Taskmanager kann man leicht nachschauen, dass die Google-Toolbar einen zweiten Prozess mit dem namens GoogleToolbarNotifier.exe startet. Dieser Prozess agiert unabhängig vom Browser. Alleine ein solches Verhalten sollte sich für ein seriöses Add-on verbieten.

Toolbars: Malware, Goodware oder PUPs?

Dass sich McAfee als Antivirenhersteller für die ganze Thematik interessiert, darf nicht weiter verwundern. Denn Unternehmen wie McAfee müssen Grenzen ziehen, bei welchen Programmen es sich um Goodware und bei welchen um Malware handelt. Das ist nicht immer ganz einfach. In letzter Zeit setzt sich für nicht ganz eindeutig klassifizierbare Programme der Begriff "Potentially Unwanted Programs" (PUPs[9]) durch.

Das sind Programme, die keinen ernsthaften Schaden auf dem Rechner des Nutzers anrichten, jedoch unerwünschte Aktionen durchführen, etwa das Verändern der Start- und Suchseiten des Browsers oder das Einblenden von Werbe-Pop-ups. Meist haben sie keinen Nutzwert.

Derzeit versuchen einige Websites mit gefälschten Firefox-Updates[10] den "Hotbar" der Firma Pinball Corporation auf den Rechnern von Websurfern zu installieren. Dafür erhalten die Websitebetreiber 1,45 Dollar pro Installation von Pinball.

Browser-Toolbars wie die von Microsoft, Google, Yahoo und Ask lassen sich nur schwer als Malware klassifizieren. Sie bringen tatsächlich einen gewissen Nutzen. So kann man beispielsweise mit der Google-Toolbar Favoriten auf mehreren Browsern und Rechnern synchronisieren.

Dass man bei Aktivierung der "erweiterten Funktionen" jede URL komplett an Google sendet und die Daten mit dem Google-Konto in Beziehung gebracht werden, ist in den Datenschutzbestimmungen eindeutig klargestellt. Allerdings geben sich Google und andere Hersteller große Mühe, diesen Umstand möglichst verklausuliert auszudrücken.

Es ist unbestritten, dass diese Daten Google helfen, Suchergebnisse zu verbessern. Welche Seiten zu welchem Thema besonders oft aufgerufen werden, oder ob der Anwender bei mehrseitigen Artikeln die Folgeseiten anklickt, sind wichtige Hinweise auf die Qualität einer Website.

Andere Kriterien, etwa wie oft eine Seite von anderen verlinkt wird, verlieren immer mehr an Bedeutung vor dem Hintergrund, dass sogenannte Suchmaschinenoptimierer (SEO) gegen Bargeld versuchen, Google und andere Suchmaschinen zu täuschen und die Websites ihrer Kunden möglichst weit oben zu positionieren.

Genaue Ortung eines Nutzers per WLAN

Google speichert bei bestimmten Einstellungen in seiner Toolbar, die man leicht unachtsam durch die Klicken auf "erweiterte Funktionen" aktiviert, das gesamte Surfverhalten eines Nutzers, siehe Bild 1[11]. Zudem sind sie Daten mit dem Google-Konto verknüpft.

Wer per WLAN mit dem Internet verbunden ist, riskiert zudem, dass er sehr genau lokalisiert werden kann. Google kennt nämlich den Standort nahezu jedes WLAN-Access-Points. Dabei spielt es keine Rolle, ob es sich um einen privaten Access-Point oder um einen öffentlichen Hotspot handelt. Auch ist es unerheblich, ob die WLAN-Station mit WEP- oder WPA-Verschlüsselung gesichert ist, siehe Bild 2[12]. Dass Google die Standorte privater WLAN-Access-Points ohne Wissen und Zustimmung ihrer Besitzer erfasst, versteht sich von selbst.

Der Nutzen einer Standortbestimmung für den Nutzer wie in Bild 3[13] ist eher begrenzt. Zwar erhält man lokale Suchergebnisse zum Begriff "Pizza", jedoch lässt dasselbe Ergebnis auch ohne die Funktion "Mein Standort" erreichen, indem man zum Beispiel nach "Pizza München" sucht.

Die Datenschutzbestimmungen zur Funktion "Mein Standort" gibt es zur Sicherheit nur in "English (US)", siehe Bild 4[14]. Google verspricht, den Standort nicht mit aufgerufenen URLs zu verbinden, weist aber darauf hin, dass "Mein Standort" auch für Drittanbieter zugänglich ist. Was die Drittanbieter mit den Informationen machen, entziehe sich Googles Kenntnis und Kontrolle.

Weiter erläutert Google, dass man den Zugriff auf "Mein Standort" jeder Website einzeln erlauben muss. Zudem könne man das blaue Symbol rechts oben in der Toolbar jederzeit deaktivieren. Der ZDNet-Test ergibt nichts Gutes: Auch bei deaktiviertem Symbol und Neustart des Browsers inklusive Kontrolle mittels Task-Manager auf den Prozess iexplore.exe erscheint der aktuelle Standort der Fritzbox 7270, in deren WLAN der ZDNet-Testrechner eingebunden ist, siehe Bild 5[15].

Erst die Deinstallation der Toolbar brachte Google Maps dazu, keinen Standort mehr preiszugeben, siehe Bild 6[16] - jedenfalls gilt das für den Internet Explorer. Für Google Chrome[17] gelten andere Regeln. Bild 7[18] zeigt, dass auch im sogenannten Inkognito-Modus ohne Anmeldung mit einem Google-Konto eine Standortbestimmung erfolgt. Das gleiche Verhalten zeigt SRware Iron[19], siehe Bild 8[20].

Beide Browser installieren ungefragt Google Gears[21], das wie die Google-Toolbar in der Lage ist, den aktuellen Standort aus der Google-WLAN-Datenbank zu ermitteln. Hat man einmal die Standort-Ermittlung freigegeben, muss man sie explizit unter "Schraubenschlüssel - Optionen - Details - Web-Content - Gears-Einstellungen ändern" wieder deaktivieren.

Bild 9[22] zeigt, dass Google Gears den recht genau lokalisierten Standort des Benutzers mit dem Begriff "Speicherort" umschreibt. Diese Bezeichnung ist für einen unbedarften Nutzer äußerst verwirrend.

Soziale Netzwerke versuchen private Adressbücher abzugreifen

Während Google nach derzeitigen Erkenntnissen mit seinen Daten einigermaßen verantwortungsvoll umgeht, und bisher keine Fälle von Datenweitergabe an Fremdfirmen oder Behörden bekannt sind, sind die sozialen Netzwerke weniger zimperlich. Bei den großen sozialen Netzwerken ist vor allem Facebook[23] zu nennen, das immer wieder dabei ertappt wird, wie es von Mitgliedern anvertraute Daten für eigene Zwecke nutzt.

So fand[24] Heise Online jüngst heraus, dass Facebook die Daten von Nichtmitgliedern sammelt und Beziehungen zu anderen Mitgliedern anhand persönlicher Adressbücher herstellt. Das aktuelle Update der Facebook-Applikation für das iPhone empfiehlt dem Nutzer, alle seine Kontakte aus dem Telefon zu Facebook hochzuladen. Die Updates für Android und Windows Mobile dürften nicht lange auf sich warten lassen.

Dass Facebook die hochgeladenen Daten nicht nur für das jeweilige Mitglied als Dienst anbietet, wird spätestens klar, wenn sich ein anderes Mitglied neu anmeldet. Das bekommt nämlich automatisch Freunde vorgeschlagen. Dass das Neumitglied die vorgeschlagenen Freunde kennt, kann Facebook nur aus den hochgeladenen Adressbüchern wissen. Eine derartige Nutzung ist zumindest moralisch äußerst fragwürdig.

Um an persönliche Kontakte eines Nutzers zu kommen, sind die sozialen Netzwerke recht erfinderisch. So bieten sie beispielsweise an, alle Freunde und Kontakte von Instant-Messenger- und Webmail-Diensten "einzuladen".

Dazu muss man wissen, dass das jeweilige soziale Netzwerk sich dazu mit Benutzernamen und Kennwort beim gewünschten Dienst, beispielsweise Windows-Live, anmelden und vorgeben muss, der Nutzer zu sein. Das alleine ist schon fragwürdig. Oft geschieht das ohne Wissen des Anwenders.

Wer mit seiner Windows Live ID[25] (früher Microsoft Passport) auf einer beliebigen Microsoft-Website angemeldet ist, etwa zum Download von Betas oder Updates, übergibt seine Windows-Live-Anmeldung an Facebook, ohne dass eine Eingabe des Passworts erforderlich ist. Deutlich besser verhält sich Xing[26], das den Benutzer in jedem Fall um Erlaubnis bittet und nach dem Kennwort fragt.

Sobald eine Liste wie in Bild 10[27] erscheint, sind alle Kontakte aus dem Online-Adressbuch an Facebook übertragen worden, unabhängig davon, ob man sich dazu entscheidet, Kontakte einzuladen oder nicht. Andere soziale Netzwerke wie Tagged.com gehen noch einen Schritt weiter und laden ungefragt alle Kontakte[28] von Windows Live, Gmail (Googlemail), Yahoo und AOL ein. Das tun diese Netzwerke mit dem gefälschten Absender des Benutzers. Das rief sogar die Staatsanwaltschaft in New York auf den Plan, die dieses Verhalten als Betrug einstufte.

Facebook bemüht sich nicht nur über das iPhone, an die Kontaktdaten seiner Mitglieder zu kommen. Es bittet ganz ungeniert alle Nutzer von Outlook Express, Thunderbird, Apple Mail und anderen, ihre Adressbücher hochzuladen, siehe Bild 11[29]. Outlook-Benutzer sollen dazu eine Applikation auf ihrem Rechner installieren. Da OST-[30] oder PST-Dateien[31] sowohl E-Mail, Kontakte als auch Termine enthalten, kann so eine Datei schnell mehrere GByte groß werden.

In Anbetracht der Tatsache, dass es mittlerweile bekannt ist, dass Facebook auch Daten von Nichtmitgliedern sammelt und nutzt, sollte man von der Nutzung dieses "Dienstes" Abstand nehmen.

Ähnlich skeptisch äußert sich auch Hendrik Speck, Professor für digitale Medien an der Fachhochschule Kaiserslautern. Im Handelsblatt[32] vertrat er die Ansicht, dass die sozialen Netzwerke versuchen, verschiedene Identitäten eines Nutzers zusammenzuführen. Wer auf E-Bay der "Schnäppchenjäger" sei, sei in World-of-Warcraft der "Goldene Krieger" und bei Wer-Kennt-Wen der "Knuddelprinz". Speck warnt vor jeder Applikation, die keine genauen Angaben macht, wie welche Daten verwendet und an wen sie übertragen werden.

Fazit

Die Datensammelwut von Firmen mit seriösem Ruf kennt scheinbar keine Grenzen. Davon sind nicht nur Unternehmen wie die Deutsche Bahn, Deutsche Telekom oder Lidl betroffen, in denen Aufsichtsräte, Vorstände und Mitarbeiter systematisch ausspioniert werden.

Unternehmen wie Suchmaschinen oder soziale Netzwerke investieren eine Menge Arbeit, um an Daten der Nutzer zu kommen. Die Suchmaschinen versuchen es vor allem mit Toolbars und anderen kostenlosen Programmen. Da das Interesse der Nutzer an solchen "Potentially Unwanted Programs" (PUPs[9]) gering ist, versuchen die Suchmaschinen, ihre Tools mit anderer Software zu bündeln.

Mit einem unachtsamen Klick auf "Weiter" bei der Installation ohne vorher die Schaltfläche "Ich möchte den Toolbar X installieren und akzeptiere die Nutzungsbedingungen" zu deaktivieren, hat man sich schnell einen möglicherweise unsichtbaren "Protokollanten" installiert. Auf Rechnern mit WLAN kann neben besuchten Websites auch der genaue Standort ermittelt werden.

Google geht derzeit offensichtlich verantwortungsvoll mit dem erhaltenen Datenmaterial um. Dennoch sind die Methoden, mit denen der Suchmaschinengigant versucht, dem Nutzer Schnüffel-Software unterzuschieben, indem er zwar juristisch korrekt, aber möglichst unbewusst zugestimmt hat, recht rabiat.

Ein technisch versierter Benutzer kann sicherlich einen eventuellen Datenfluss zu den Suchmaschinen wieder stoppen. Da man dazu am besten einen Netzwerk-Sniffer einsetzt, wie Harvard-Professor Ben Edelman herausgefunden hat, dürften viele Anwender Schwierigkeiten haben, sich einer einmal unbewusst zugestimmten Datenübertragung wieder zu entziehen.

Die sozialen Netzwerke gehen mit denen ihnen anvertrauten Daten recht leichtfertig und eigennützig um. So bittet etwa Facebook ganz unverblümt um die persönlichen Adressbücher von der Festplatte des Benutzers. Wie inzwischen bekannt ist, werden diese Daten massiv im Eigeninteresse von Facebook genutzt. Das gilt auch für Daten von Nichtmitgliedern, die Facebook aus privaten Kontaktdateien zieht.

Dieser Umgang mit Daten geht mehr als einen Schritt zu weit. Hier sind die Gesetzgeber weltweit gefordert, einen klaren Rahmen zu setzen, an den sich die sozialen Netzwerke halten müssen.

URLs in diesem Artikel:
[1] = http://www.benedelman.org
[2] = http://www.hbs.edu/
[3] = http://www.mcafee.com
[4] = http://www.benedelman.org/news/012610-1.html
[5] = http://www.zdnet.de/browsen_unter_windows_internet_explorer_8_download-39002345-86940-1.htm
[6] = http://www.benedelman.org/spyware/images/googletoolbar-jan10/rightclick-video-012610.html
[7] = http://www.google.com/support/toolbar/bin/static.py?page=privacy.html&hl=de&v=
[8] = http://www.avertlabs.com/research/blog/index.php/2010/02/02/protecting-privacy-by-design
[9] = http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1066761,00.html
[10] = http://www.zdnet.de/news/wirtschaft_sicherheit_security_gefaelschte_firefox_updates_mit_adware_im_umlauf_story-39001024-41526837-1.htm
[11] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-1.htm
[12] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-2.htm
[13] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-3.htm
[14] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-4.htm
[15] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-5.htm
[16] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-6.htm
[17] = http://www.zdnet.de/google_chrome_download-39002345-242489-1.htm
[18] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-7.htm
[19] = http://www.zdnet.de/browsen_unter_windows_srware_iron_download-39002345-300754-1.htm
[20] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-8.htm
[21] = http://www.zdnet.de/google_gears_download-39002345-63674-1.htm
[22] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-9.htm
[23] = http://www.facebook.de
[24] = http://www.heise.de/newsticker/meldung/Was-Facebook-ueber-Nicht-Mitglieder-weiss-921350.html
[25] = http://www.passport.net
[26] = http://www.xing.com
[27] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-10.htm
[28] = http://www.zdnet.de/news/wirtschaft_sicherheit_security_staatsanwaltschaft_beschuldigt_soziales_netzwerk_des_millionenfachen_datendiebstahls_story-39001024-41006458-1.htm
[29] = http://www.zdnet.de/bildergalerien_so_kommen_google_und_facebook_an_private_daten_story-39002384-41527243-11.htm
[30] = http://www.msexchangefaq.de/clients/unterwegs4.htm
[31] = http://www.outlook-net.de/7-6.htm#76-1
[32] = http://www.handelsblatt.com/technologie/it-internet/online-werbung-verdaechtiger-datenhunger-der-netzwerke;2518864
[33] = http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1066761,00.html

Contact

Professor Hendrik Speck. 2007.

Prof. Hendrik Speck
University of Applied Sciences Kaiserslautern
Department of Computer Sciences
Amerikastrasse 1
66482 Zweibrücken
Germany

Office: Building O, Room O 017

E-Mail: Hendrik.Speck  (at) hs-kl (dot) de
Phone: +49 631 3724 5360

Call Prof. Hendrik Speck with Sykpe Chat with Prof. Hendrik Speck

See Xing Profile of Prof. Hendrik Speck See Projects and Programs of Prof. Hendrik Speck

* Click here to View larger map.